Debit lent, activité suspecte.

cardabelle · Le 21/07/2017, à 17:29

Bonjour,

Ayant un débit soudain très ralenti, j'ai appelé la hot-line de free. Le technicien m'a dit que je téléchargeais à 300 Ko/s.
Or je ne télécharge pas en ce moment.
J'ai fait ps -ef et là, je trouve des lignes root et frf (mon idf) que ne reproduis pas pour le moment, mais aussi des lignes suspectes ou douteuses (pour moi en tous cas) que je reproduis.

systemd+   436     1  0 18:03 ?        00:00:00 /lib/systemd/systemd-timesyncd

message+   803     1  0 18:03 ?        00:00:00 /usr/bin/dbus-daemon --system --

avahi      830     1  0 18:03 ?        00:00:00 avahi-daemon: running [frf.local

avahi      849   830  0 18:03 ?        00:00:00 avahi-daemon: chroot helper

syslog     841     1  0 18:03 ?        00:00:00 /usr/sbin/rsyslogd -n

colord     928     1  0 18:03 ?        00:00:00 /usr/lib/colord/colord

lp         988   822  0 18:03 ?        00:00:00 /usr/lib/cups/notifier/dbus dbus
lp         989   822  0 18:03 ?        00:00:00 /usr/lib/cups/notifier/dbus dbus

nobody    1384   831  0 18:03 ?        00:00:00 /usr/sbin/dnsmasq --no-resolv --

rtkit     1658     1  0 18:03 ?        00:00:00 /usr/lib/rtkit/rtkit-daemon

whoopsie  1915     1  0 18:04 ?        00:00:00 /usr/bin/whoopsie -f

Les deux dernières me semblent particulièrement douteuses.
Y-a-t-il qch à supprimer?

Merci.

thegamer94400 · Le 21/07/2017, à 19:27

Ton pc est surement zombifié

Compte anonymisé · Le 21/07/2017, à 20:13

Bonjour

whoopsie

et

man rtkitctl
[...]
RealtimeKit  is  a  D-Bus  system service that changes the scheduling policy of user processes/threads to SCHED_RR (i.e. realtime
       scheduling mode) on request. It is intended to be used as a secure mechanism to allow real-time scheduling to be used  by  normal
       user processes.
[...]

Pour nobody : vu que tu es chez Free : renvoies-nous stp

cat /etc/NetworkManager/NetworkManager.conf

et

cat /etc/resolv.conf

Pour le reste, rien de particulier à signaler.

Si tu veux surveiller ta connexion internet en temps réel:

watch -n 10 netstat -putal

Dernière modification par Compte anonymisé (Le 22/07/2017, à 07:52)

nam1962 · Le 21/07/2017, à 20:33

Bon, déjà il n'y a RIEN du tout de suspect !
As tu redémarré ta box pour la mettre à jour ?
Ton ordi est-il à jour lui-même ?
Donne nous :

cat /etc/apt/sources.list
ls /etc/apt/sources.list.d
df -Th
df -i

Tu peux aussi regarde si tu n'as pas tout simplement un autre device sur ton réseau :

nmap -sP 192.168.0.0/255

ou

nmap -sP 192.168.1.0/255

suivant l'adressage de ta box.

cardabelle · Le 23/07/2017, à 14:41

@jojo81

cat /etc/NetworkManager/NetworkManager.conf
[main]
plugins=ifupdown,keyfile,ofono
dns=dnsmasq

[ifupdown]
managed=false

cat /etc/resolv.conf
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 127.0.1.1

watch -n 10 netstat -putal
Every 10,0s: netstat -putal                             Sun Jul 23 15:40:05 2017

(Not all processes could be identified, non-owned process info
 will not be shown, you would have to be root to see it all.)
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
PID/Program name
tcp        0      0 localhost:mysql         *:*                     LISTEN
-
tcp        0      0 frf:domain              *:*                     LISTEN
-
tcp        0      0 localhost:ipp           *:*                     LISTEN
-
tcp        0      0 localhost:9150          *:*                     LISTEN
-
tcp        0      0 localhost:9151          *:*                     LISTEN
-
tcp        0      0 192.168.0.50:42494      185.137.19.57:https     ESTABLISHED
4203/opera
tcp        0      0 localhost:9150          localhost:54944         ESTABLISHED
-
tcp        0      0 192.168.0.50:42506      185.137.19.57:https     ESTABLISHED
4203/opera
tcp        0      0 192.168.0.50:59130      ledu-giraud.fr:ftp      ESTABLISHED

C'est quoi ce ledu-giraud.fr ?
Pour nobody : vu que tu es chez Free : renvoies-nous stp : comment tu le sais ? ( )

Dernière modification par cardabelle (Le 23/07/2017, à 14:58)

cardabelle · Le 23/07/2017, à 14:47

@nam1962

cat /etc/apt/sources.list
# deb cdrom:[Ubuntu 16.04 LTS _Xenial Xerus_ - Release amd64 (20160420.1)]/ xenial main restricted

# See http://help.ubuntu.com/community/UpgradeNotes for how to upgrade to
# newer versions of the distribution.
deb http://fr.archive.ubuntu.com/ubuntu/ xenial main restricted
# deb-src http://fr.archive.ubuntu.com/ubuntu/ xenial main restricted

## Major bug fix updates produced after the final release of the
## distribution.
deb http://fr.archive.ubuntu.com/ubuntu/ xenial-updates main restricted
# deb-src http://fr.archive.ubuntu.com/ubuntu/ xenial-updates main restricted

## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team, and may not be under a free licence. Please satisfy yourself as to
## your rights to use the software. Also, please note that software in
## universe WILL NOT receive any review or updates from the Ubuntu security
## team.
deb http://fr.archive.ubuntu.com/ubuntu/ xenial universe
# deb-src http://fr.archive.ubuntu.com/ubuntu/ xenial universe
deb http://fr.archive.ubuntu.com/ubuntu/ xenial-updates universe
# deb-src http://fr.archive.ubuntu.com/ubuntu/ xenial-updates universe

## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu 
## team, and may not be under a free licence. Please satisfy yourself as to 
## your rights to use the software. Also, please note that software in 
## multiverse WILL NOT receive any review or updates from the Ubuntu
## security team.
deb http://fr.archive.ubuntu.com/ubuntu/ xenial multiverse
# deb-src http://fr.archive.ubuntu.com/ubuntu/ xenial multiverse
deb http://fr.archive.ubuntu.com/ubuntu/ xenial-updates multiverse
# deb-src http://fr.archive.ubuntu.com/ubuntu/ xenial-updates multiverse

## N.B. software from this repository may not have been tested as
## extensively as that contained in the main release, although it includes
## newer versions of some applications which may provide useful features.
## Also, please note that software in backports WILL NOT receive any review
## or updates from the Ubuntu security team.
deb http://fr.archive.ubuntu.com/ubuntu/ xenial-backports main restricted universe multiverse
# deb-src http://fr.archive.ubuntu.com/ubuntu/ xenial-backports main restricted universe multiverse

## Uncomment the following two lines to add software from Canonical's
## 'partner' repository.
## This software is not part of Ubuntu, but is offered by Canonical and the
## respective vendors as a service to Ubuntu users.
deb http://archive.canonical.com/ubuntu xenial partner
deb-src http://archive.canonical.com/ubuntu xenial partner

deb http://security.ubuntu.com/ubuntu xenial-security main restricted
# deb-src http://security.ubuntu.com/ubuntu xenial-security main restricted
deb http://security.ubuntu.com/ubuntu xenial-security universe
# deb-src http://security.ubuntu.com/ubuntu xenial-security universe
deb http://security.ubuntu.com/ubuntu xenial-security multiverse
# deb-src http://security.ubuntu.com/ubuntu xenial-security multiverse
deb http://fr.archive.ubuntu.com/ubuntu/ xenial-proposed multiverse main universe restricted
# deb-src http://deb.bitmask.net/debian xenial main

ls /etc/apt/sources.list.d
bitmask.list
bitmask.list.save
brave-xenial.list
brave-xenial.list.save
freetuxtv-ubuntu-freetuxtv-dev-xenial.list
freetuxtv-ubuntu-freetuxtv-dev-xenial.list.save
iridium-browser.list
iridium-browser.list.save
jonathon-love-ubuntu-jamovi-xenial.list
jonathon-love-ubuntu-jamovi-xenial.list.save
keybase.list
keybase.list.save
opera-stable.list
opera-stable.list.save
rebuntu16-ubuntu-avidemux_unofficial-xenial.list
rebuntu16-ubuntu-avidemux_unofficial-xenial.list.save
vincent-vandevyvre-ubuntu-vvv-xenial.list
vincent-vandevyvre-ubuntu-vvv-xenial.list.save
yoggic-ubuntu-dpluzz-xenial.list

df -Th
Filesystem     Type      Size  Used Avail Use% Mounted on
udev           devtmpfs  3,9G     0  3,9G   0% /dev
tmpfs          tmpfs     791M  9,5M  781M   2% /run
/dev/sda1      ext4       48G   21G   25G  46% /
tmpfs          tmpfs     3,9G   65M  3,8G   2% /dev/shm
tmpfs          tmpfs     5,0M  4,0K  5,0M   1% /run/lock
tmpfs          tmpfs     3,9G     0  3,9G   0% /sys/fs/cgroup
tmpfs          tmpfs     791M   92K  790M   1% /run/user/1000
/dev/sdb5      ext4      139G   66G   66G  50% /media/frf/Data_cv
/dev/sdb4      ext4      302G  161G  126G  57% /media/frf/NEW

 df -i
Filesystem       Inodes  IUsed    IFree IUse% Mounted on
udev            1006212    586  1005626    1% /dev
tmpfs           1011279    850  1010429    1% /run
/dev/sda1       3145728 384154  2761574   13% /
tmpfs           1011279    182  1011097    1% /dev/shm
tmpfs           1011279      5  1011274    1% /run/lock
tmpfs           1011279     16  1011263    1% /sys/fs/cgroup
tmpfs           1011279     43  1011236    1% /run/user/1000
/dev/sdb5       9224192  14184  9210008    1% /media/frf/Data_cv
/dev/sdb4      20094976    821 20094155    1% /media/frf/NEW

nmap -sP 192.168.0.0/255

Starting Nmap 7.01 ( https://nmap.org ) at 2017-07-23 15:46 CEST
Illegal netmask in "192.168.0.0/255". Assuming /32 (one host)
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 0.00 seconds

nmap -sP 192.168.1.0/255

Starting Nmap 7.01 ( https://nmap.org ) at 2017-07-23 15:47 CEST
Illegal netmask in "192.168.1.0/255". Assuming /32 (one host)
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 0.00 seconds

michel_04 · Le 23/07/2017, à 15:02

Bonjour,

cardabelle a écrit :

cat /etc/apt/sources.list
deb http://fr.archive.ubuntu.com/ubuntu/ xenial-proposed multiverse main universe restricted

Regarde Proposed.

A+

Compte anonymisé · Le 23/07/2017, à 15:04

Salut : bon il y a bien une petite embrouille avec le DNS de ta machine. Nous allons pointer les requêtes DNS vers les serveurs de Free, ils sont fait pour, pas besoin d'une surcouche DNS.
Change avec les droits root le contenu du fichier
/etc/NetworkManager/NetworkManager.conf
en :

[main]
plugins=ifupdown,keyfile,ofono
dns=default

[ifupdown]
managed=false

Puis supprime /etc/resolv.conf
et

systemctl restart NetworkManager.service

_ Vérifions enfin le contenu de /etc/resolv.conf

cat /etc/resolv.conf

qui doit ressembler à ça

# Generated by resolvconf
nameserver 212.27.40.241
nameserver 212.27.40.240

cardabelle · Le 23/07/2017, à 15:07

@michel_04

C'est une rubrique que je n'ai pas.

cardabelle · Le 23/07/2017, à 15:10

@jojo81
Merci, mais il faut que tu me idses avec quelle commande...

michel_04 · Le 23/07/2017, à 15:12

Re,

cardabelle a écrit :

@michel_04
C'est une rubrique que je n'ai pas.

Ben si. C'est l'avant-dernière ligne du retour de ton cat /etc/apt/sources.list, message #6.

A+

Compte anonymisé · Le 23/07/2017, à 15:21

cardabelle a écrit :

@jojo81
Merci, mais il faut que tu me idses avec quelle commande...

Pour le changement de contenu du fichier /etc/NetworkManager/NetworkManager.conf ?

Tu copies-colles le contenu que je te proposes dans un fichier avec ton éditeur préféré et l'enregistres sur ton dossier personnel (/home/<toi>)
que l'on nommera par exemple NetworkManager_conf
ensuite

sudo mv /etc/NetworkManager/NetworkManager.conf /etc/NetworkManager/NetworkManager.conf.bak

sudo mv NetworkManager_conf  /etc/NetworkManager/NetworkManager.conf

nam1962 · Le 23/07/2017, à 15:25

michel_04 a écrit :

Re,
cardabelle a écrit :
@michel_04
C'est une rubrique que je n'ai pas.
Ben si. C'est l'avant-dernière ligne du retour de ton cat /etc/apt/sources.list, message #6.
A+

+1 ! En urgence !
Regarde aussi tes PPA si tu les connais bien et si tu en as besoin !
Entre les multiples navigateurs (dont Brave qui est commercial), ton vpn, tes trucs de téléchargement, ça fait pas mal de sujets de fuite possible.

@jojo81 : tant qu'il y a les proposed, pas la peine de toucher à autre chose ! (il peut-être judicieux de [url=[modéré : pas d’auto-pub, merci]-supprimer-les-depots-proposed/]supprimer proprement ce qui a été installé par le dépôt proposed[/url] d'ailleurs.)

Dernière modification par nam1962 (Le 23/07/2017, à 15:28)

Compte anonymisé · Le 23/07/2017, à 15:32

Je touche la partie réseau qui m'a l'air normale, en quoi les proposed impactent -ils la configuration ? La surcouche DNS (masq et cache) est installée de base , mais ne sert ... à pas grand chose pour son cas .

Mais si il est mieux de faire dans l'ordre que nam1962 préconise, j'admets.

Et après tout ça, je ferai télécharger et installer à cardabelle un fichier hosts de derrière les fagots .

Dernière modification par Compte anonymisé (Le 23/07/2017, à 15:37)

nam1962 · Le 23/07/2017, à 15:37

Les proposed apportent des paquets expérimentaux qui peuvent impacter n'importe quoi dans le système (au gré des fantaisies des devs) donc même un paquet légit' de base peut se retrouver défaillant.
Sinon, vu que les installs fonctionnent généralement correctement avec les paquets par défaut (quand ils ne sont pas expérimentaux), pas sûr que les supprimer change grand chose (de plus notre ami semble avoir un usage avancé de son réseau puisque j'ai vu du PPA pour VPN)

cardabelle · Le 23/07/2017, à 15:37

@michel_04 #11
Oui, mais pas dans le gestionnaire de mises à jour ( qui d'ailleurs ne veut pas se fermer...)

@jojo81 #12
OK c'est fait.

Compte anonymisé · Le 23/07/2017, à 15:40

cardabelle a écrit :

@jojo81 #12
OK c'est fait.

Je veux les preuves que #12 et #8 ont été faites :

cat /etc/NetworkManager/NetworkManager.conf

cat /etc/resolv.conf

nam1962 · Le 23/07/2017, à 15:54

cardabelle a écrit :

@michel_04 #11
Oui, mais pas dans le gestionnaire de mises à jour ( qui d'ailleurs ne veut pas se fermer...)
(...)

..si, dans le dernier onglet à droite (qui d'ailleurs contient une alerte expresse )

Sinon, relis bien le #13 (éventuellement applique la procédure manuelle du lien fourni) et dis nous pour tes PPA !

cardabelle · Le 23/07/2017, à 15:54

J'ai redémarré.
Mon VPN ne fonctionne plus , j'ai supprimé bitmask et les ppa.
J'ai viré des ppa et brave.
Mais je maintiens que je n'ai pas le choix proposed : voir https://framapic.org/wKueMrUma81B/hnIzxcVx4R3A.png

cardabelle · Le 23/07/2017, à 15:57

@jojo17

cat /etc/NetworkManager/NetworkManager.conf
[main]
plugins=ifupdown,keyfile,ofono
dns=default

[ifupdown]
managed=false

cat /etc/resolv.conf
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 192.168.0.254
nameserver 80.67.169.12
nameserver 80.67.169.40

michel_04 · Le 23/07/2017, à 16:02

Re,

cardabelle a écrit :

Mais je maintiens que je n'ai pas le choix proposed : voir https://framapic.org/wKueMrUma81B/hnIzxcVx4R3A.png

Regarde là --->

A+

cardabelle · Le 23/07/2017, à 16:03

J'ai suivi les instructions de [url][modéré : pas d’auto-pub, merci]-supprimer-les-depots-proposed/[/url] pour virer les proposed.

cardabelle · Le 23/07/2017, à 16:04

@michel_04
Oui, il etait coché, je l'ai décoché.

nam1962 · Le 23/07/2017, à 16:22

Ah !
Avec tous ces nettoyages il va être intéressant de voir si tu as toujours des fuite, maintenant.

Et là on peut aussi rebondir sur la demande de jojo81
Je vois que tu forces les DNS de FDN en complémentaires, tu peux éventuellement en tester l'efficience avec namebench (il est toujours sage de garder celles de son FAI en primaires comme tu l'as apparement fait)

cardabelle · Le 23/07/2017, à 17:05

Voilà le namebench : https://framadrop.org/r/In1rT84DRR#WXem … PWD6x8wKc=

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 21/07/2017, à 17:29

Debit lent, activité suspecte.

#2 Le 21/07/2017, à 19:27

Re : Debit lent, activité suspecte.

#3 Le 21/07/2017, à 20:13

Re : Debit lent, activité suspecte.

#4 Le 21/07/2017, à 20:33

Re : Debit lent, activité suspecte.

#5 Le 23/07/2017, à 14:41

Re : Debit lent, activité suspecte.

#6 Le 23/07/2017, à 14:47

Re : Debit lent, activité suspecte.

#7 Le 23/07/2017, à 15:02

Re : Debit lent, activité suspecte.

#8 Le 23/07/2017, à 15:04

Re : Debit lent, activité suspecte.

#9 Le 23/07/2017, à 15:07

Re : Debit lent, activité suspecte.

#10 Le 23/07/2017, à 15:10

Re : Debit lent, activité suspecte.

#11 Le 23/07/2017, à 15:12

Re : Debit lent, activité suspecte.

#12 Le 23/07/2017, à 15:21

Re : Debit lent, activité suspecte.

#13 Le 23/07/2017, à 15:25

Re : Debit lent, activité suspecte.

#14 Le 23/07/2017, à 15:32

Re : Debit lent, activité suspecte.

#15 Le 23/07/2017, à 15:37

Re : Debit lent, activité suspecte.

#16 Le 23/07/2017, à 15:37

Re : Debit lent, activité suspecte.

#17 Le 23/07/2017, à 15:40

Re : Debit lent, activité suspecte.

#18 Le 23/07/2017, à 15:54

Re : Debit lent, activité suspecte.

#19 Le 23/07/2017, à 15:54

Re : Debit lent, activité suspecte.

#20 Le 23/07/2017, à 15:57

Re : Debit lent, activité suspecte.

#21 Le 23/07/2017, à 16:02

Re : Debit lent, activité suspecte.

#22 Le 23/07/2017, à 16:03

Re : Debit lent, activité suspecte.

#23 Le 23/07/2017, à 16:04

Re : Debit lent, activité suspecte.

#24 Le 23/07/2017, à 16:22

Re : Debit lent, activité suspecte.

#25 Le 23/07/2017, à 17:05

Re : Debit lent, activité suspecte.

Pied de page des forums